Перейти к содержанию

украли 6 биткоинов (Trezor)


sergwayne

Рекомендуемые сообщения

У моего хорошего знакомого увели 6+ битков с кошелька Трезор, сам таким не пользуюсь, кто может что подсказать у кого такой же девайс, как такое могло произойти.

 

  • модель: Trezor one
  • firmware:  v. 1.6.3
  • ноутбук: windows 7

 

сид фраза у него была только на бумажке.

вот транзакция:

https://blockchair.com/bitcoin/transaction/3dd3f63339e9eb9a5872c849f12abb0a18d703cf1ea0771460ab3b3b95246e6e

 

в момент транзакции ноутбук и трезор были выключены.

что это?

вирусня на компе?

взломаный трезор?

 

пс. параллельно еще в саппорт трезора написали.

Ссылка на комментарий
Поделиться на другие сайты

Просто подозрительно. Комса маленькая, лежат мертвым грузом на новом адресе.

Может не помнит, что куда-то перевел? За окном яхта не стоит?

Ссылка на комментарий
Поделиться на другие сайты

Пользуюсь сам трезором и как то стремно стало от таких новостей. А он точно сид фразу на бумажке хранил? Не в облаке ни в черновиках на почте. Может копия на смарт сделана была?

Изменено пользователем GendosMorev
Ссылка на комментарий
Поделиться на другие сайты

13 минут назад, Lexis77 сказал:

Комса маленькая, лежат мертвым грузом на новом адресе.

Мало времени прошло, хакер, сука, счастливый спать завалился...

Ссылка на комментарий
Поделиться на другие сайты

@Helber разве что вирусяка-бот и хозяин еще не в курсе.

Ссылка на комментарий
Поделиться на другие сайты

Сид сохранял на компе или сфоткал в облако. Сид кто-то переписал. 

Как иначе? Там подтверждение надо тапать на дисплее.

кстати мог ещё экспорт приватника сделать, его и срисовали.

Изменено пользователем moneymaker
Ссылка на комментарий
Поделиться на другие сайты

16 minutes ago, Lexis77 said:

разве что вирусяка-бот и хозяин еще не в курсе.

 

я думаю не просто вирус, ведь сид или приватники из трезора вытащить не должно быть возможно так просто без случайного пароля, подозреваю может быть какой-то баг и эксплойт его в старой версии, тк хозяин не обновлял прошивку на трезоре от слова соовсем.

 

3 minutes ago, moneymaker said:

Сид сохранял на компе или сфоткал в облако. Сид кто-то переписал. 

 

клянется что сид только на бумажке был, вариант переписать тоже не рассматривает.

Ссылка на комментарий
Поделиться на другие сайты

На правах параноика, хочу задать вопрос. А это его личные средства и принадлежат на 100% ему?

Ссылка на комментарий
Поделиться на другие сайты

@Lexis77 на сколько я понимаю, да. по крайне мере говорит что доступ только у него был к кошельку.

Ссылка на комментарий
Поделиться на другие сайты

Имею личное предвзятое отношение к Трезору, пользуюсь Леджером и всем рекомендую.

Но я не производитель, гарантий никаких не даю, но и ничего не крали.

 

23 минуты назад, sergwayne сказал:

клянется что сид только на бумажке был, вариант переписать тоже не рассматривает.

Возможно так и было. Но если он хоть раз вводил его в комп (даже там не сохраняя), то этого уже достаточно, кошелек уже в тот момент стал полностью бессмысленным.

 

4 минуты назад, sergwayne сказал:

по крайне мере говорит что доступ только у него был к кошельку.

Возможно, так удобно говорить.  Теперь вы (и все) знаете, что биткойнов у него больше нет.  В далекой перспективе это плюс для знакомого, ни у кого не будет искушения прийти к нему с паяльником.

 

 

По сути ситуация сейчас такая, что правду никто никогда не узнает, так как нет способа ее выяснить, по крайней мере я его не вижу.   Возможно, что саппорт Трезора сможет прояснить ситуацию, если транзакция была отправлена с самого Трезора и через ПО трезора,  то на серверах компании Трезор могут быть соответсивующие логи.

Ссылка на комментарий
Поделиться на другие сайты

Посмотрел транзакцию, ничего необычного с первого взгляда, но возникает вопрос. Как это так быстро обнаружилась пропажа?  Практически спустя пару часов после совершения транзакции. 

Транзакция была 5 часов 10 минут назад, эта тема создана 2 часа 40 минут назад.

 

Итого за 2.5 часа нужно было во-первых обнаружить каким-то образом, что биткойнов больше нет,  что-то у себя на компе потыкать попроверять, проверить на вирусы, какие нибудь логи потыкать, ну хоть что-то.

 

Вот если Леджер к меня где-то лежит, то о краже я узнаю только в след раз, когда попытаюсь им воспользоваться в очередной раз.  Если у знакомого было все выключено - как он узнал?  Просто надрачивал на свои адреса в интернете?  Так как все потраченные адреса разные, то это определено не майнинг и не повторные платежи, а значит каждый раз запрашивался новый адрес в кошельке.

 

Крайний раз он, вероятно, пользовался кошельком 3 дня назад.

7568a432d36c8cca4aae05243fdc5e91c28bc259bf8e70f740567605f806a1e3/31oj3qMBQnRgs2AwQM2XM2vRjDQMy5kEJT

Так как эта сумма похожа на сдачу. И отматывая назад можно видеть подобные транзакции, с 1 входом и 2 выходами, типичная транзакции оплаты чего-то на другой адрес + сдача.

 

В общем у меня складывается впечатление, что эта история совсем не про Трезор.. 

Ссылка на комментарий
Поделиться на другие сайты

@e46btc  он сказал что последний раз сам переводил во вторник, сегодня пропажу обнаружил гдето через полчаса после этого перевода,(собирался еще 1 перевод сделать) Я специально его спросил точно во сколько он включил ноутбук и подключил трезор, это было после 21.00 мск, а транзакция прошла в 20.35

пс. да для меня это тоже все очень странно.

Ссылка на комментарий
Поделиться на другие сайты

Практически такая же ситуация случилась пол года назад с леджером (с сидом на бумаге и отключенным железом)  

Увидел пропажу через несколько часов, хотел отправить на него очередную транзу.

На него только получал для холда, никогда ничего не отправлял.

 

После этого курил тему пропаж с аппаратных кошельков, как понимаю это случается крайне редко но все же периодически.

 

Прогноз по ответу из поддержки - мы ни при делах никакой инфой помочь не сможем, во всяком случае моя долгая переписка с поддержкой леджера именно этим и закончилась :(

Изменено пользователем Lookingfor
Ссылка на комментарий
Поделиться на другие сайты

вопросы которые интересны сейчас:

- можно ли как-то понять перевод этот сделан через трезор или вне его?

- есть ли возможность из трезора без пароля вытащить эти приватники (баг?)

Ссылка на комментарий
Поделиться на другие сайты

Есть статейка на эту тему, в ней приведен пример, когда устройство у хакера в руках, но возможно она натолкнет на какие-то размышления

 

Найден способ извлечь seed и pin с любого такого устройства, устранить эту уязвимость архитектурно невозможно; единственный способ защититься - использовать passphrase адекватной длины https://ledger-donjon.github.io/Unfixable-Key-Extraction-Attack-on-Trezor/

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, Lookingfor сказал:

Практически такая же ситуация случилась пол года назад с леджером (с сидом на бумаге и отключенным железом)  

Увидел пропажу через несколько часов, хотел отправить на него очередную транзу.

На него только получал для холда, никогда ничего не отправлял.

На 99.9% я верю в украденный сид.

 

2 минуты назад, sergwayne сказал:

вопросы которые интересны сейчас:

- можно ли как-то понять перевод этот сделан через трезор или вне его?

- есть ли возможность из трезора без пароля вытащить эти приватники (баг?)

У меня только догадки.

1) можно попытаться по косвенным признакам, для этого нужен глубокий анализ транзакций с трезора (не обязательно с этого), номер версии, локтайм, наличие RBF, порядок входов и выходов, способ их подписи и подобные штуки, то есть довольно ощутимая работа, готового анализа у меня нет.

2) для этого как минимум обязательно нужен физический доступ к трезору.

 

Судя по тому, что я вижу, такие ничем не подтвржденные догадки - транзакция была отправлена именно с трезора, по формату она очень похожа на все предыдущие по описанным выше признакам.

 

Что бы сделал я, украв у кого-то фразу?  Ход мыслей был примерно таким бы.  "О ништяк бабосики бабосики, нужно поскорее их куда-то перекинуть, пока хозяин не отдуплил. Так, это сид фраза, значит адресов может быть несколько, как же мне все оттуда забрать?  Воспользуюсь Электрумом, очень быстро и просто, к тому же Bitcoin Core не умеет сид фразы, а мобильными кошельками я не пользуюсь, да и это долго и неудобно, можно облажаться.  К тому же разные типы адресов (Legacy/Segwit/Bech32), в электруме будет легко все проверить"

 

Но с высокой вероятностью это был не Электрум, или по крайней мере не Электрум по умолчанию.

1) по умолчанию Электрум используется RBF, нет ни одной разумной причины обычному человеку его отключать, нужно быть прямо очень продвинутым и делать  это намеренно и с глубоким смыслом

2) в электруме есть кнопка максимальной комисии, было бы разумно ее нажать, чтобы максимально быстро подтвердилась транзакция, опять же если делать на скорость, то не нужно особо что-то экономить и считать комиссию вручную и в голове

3) Электрум ставит Locktime в транзакции, это неотключаемая вещь, по крайней мере через пользовательский интерфейс я не знаю как это сделать, в данной транзакции локтайма нет.

4) Нужно проверить, скорее всего сейчас электрум уже использует 02 версию транзакции, нет сейчас компа рядом, здесь еще 01.

 

Наверное можно использовать еще дофига разных кошельков кроме Электрума, но например я не пользуюсь всяким разным гоуном типа эксодусов и т.п.  Составлять сегвит транзакцию вручную с 8 входами это тоже оверкилл.

 

Ссылка на комментарий
Поделиться на другие сайты

8 минут назад, e46btc сказал:

На 99.9% я верю в украденный сид.

а я на 99.9% не верю в украденный сид, но это по сути ничего не меняет, и битки не вернет :(

 

P.S. к стати вместе с сидом там еще пароль 8 цифр на вход в железку случаем не надо до кучи потырить? :)

а то что то не получается в электруме свой собственный клон леджера по сиду создать без подключения железки, ну или я криворукий :) 

Ссылка на комментарий
Поделиться на другие сайты

@Lookingfor это ваше дело во что верить. Я написал только свое мнение, основанное на собственном опыте и знаниях.

 

Никакой пароль 8 цифр для электрума не нужен, достаточно 24 (25) слов.

 

8 минут назад, Lookingfor сказал:

а то что то не получается в электруме свой собственный клон леджера по сиду создать

Вот вам и причина.

 

Недопустимо использовать сид на компе ни при каких обстоятельствах, единственное исключение это умерший или утерянный аппаратный кошелек.

 

Как только вы ввели сид на компе, даже безуспешно попытавшись создать клон в электруме, или для любых других целей - все, аппаратный кошелек можно смело выкинуть в мусорку, его польза сразу же становится нулевой.

 

Ссылка на комментарий
Поделиться на другие сайты

56 минут назад, e46btc сказал:

@Lookingfor это ваше дело во что верить. Я написал только свое мнение, основанное на собственном опыте и знаниях.

 

Никакой пароль 8 цифр для электрума не нужен, достаточно 24 (25) слов.

 

Вот вам и причина.

 

Недопустимо использовать сид на компе ни при каких обстоятельствах, единственное исключение это умерший или утерянный аппаратный кошелек.

 

Как только вы ввели сид на компе, даже безуспешно попытавшись создать клон в электруме, или для любых других целей - все, аппаратный кошелек можно смело выкинуть в мусорку, его польза сразу же становится нулевой.

 

я попытался это сделать после увода битка, до этого сид единожды списанный с экрана на бумагу при первичной установке кошелька никуда никогда больше не вводился

и пытался это сделать что бы исключить глюк железа, так как после увода битка леджер потерял всякую функциональность вплоть до того что не возможно перевести малый остаток который до сих пор висит на балансе одного из адресов 0.0004втс

и в таком случае если вы говорите о критическом риске вода сида для восстановления  утерянного кошелька как же его восстанавливать в электруме ?

или сразу после восстановления в электруме надо перебрасывать куда то еще???

 

 

Но наверное это уже оффтоп в этой теме, тут все таки про трезор

заранее извиняюсь перед топикстатером, могу ли написать вам в личку по этому вопросу?

Изменено пользователем Lookingfor
Ссылка на комментарий
Поделиться на другие сайты

27 минут назад, Lookingfor сказал:

так как после увода битка леджер потерял всякую функциональность вплоть до того что не возможно перевести малый остаток который до сих пор висит на балансе одного из адресов 0.0004втс

Через электрум сможете потратить.

 

27 минут назад, Lookingfor сказал:

и в таком случае если вы говорите о критическом риске вода сида для восстановления  утерянного кошелька как же его восстанавливать в электруме ?

или сразу после восстановления в электруме надо перебрасывать куда то еще???

Восстанавливаете на максимально безопасном компе и сразу перебрасываете весь баланс на другой кошелек. Наверное, можно предположить, что не обязательно это делать для утерянного кошелька, маловероятно, что кто-то угадает пин код с 3 попыток, но вы никак не можете достоверно знать, что можно сделать с кошельком при наличии к нему физического доступа. Даже если сейчас ничего, то через год найдут дыру и станет можно. Да и к тому же не факт, что его потеряли, его могли и целеноправленно украсть.

 

Если Леджер умер физически и есть другой запасной, то можно восстановить сид в новый Леджер, тогда сид останется в безопасности, так как ни у какого вредоносного ПО не будет возможности его перехватить каким-либо образом.  А умерший Леджер отправляется в камин и ни в коем случае не на завод по гарантии, даже если она есть.

 

27 минут назад, Lookingfor сказал:

Но наверное это уже оффтоп в этой теме, тут все таки про трезор

заранее извиняюсь перед топикстатером, могу ли написать вам в личку по этому вопросу?

Видимо да, некоторым образом оффтоп, но с другой стороны все это справедливо и для Трезора в точно такой же степени.  К тому же по сути темы уже мало что можно добавить ИМХО.

 

Возможные варианты по теме:

- реально дырявый Трезор, учитывая, что внутри по сути флешка (в отличии от Леджера)

- знакомый что-то недоговаривает

- у него каким-то образом украли сид в электронном виде, возможно он тоже хотел иметь копию на компе, например, для просмотра или для удобного принятия новых платежей не подключая железку

- у него украли сид в бумажном виде, где-то он его ведь хранил?  в сейфе? в шкафу? 

 

К тому же есть одно очень серьезное заблуждение, что аппаратный кошелек можно использовать даже на самом завирусованном компе - это не так, нельзя.

Изменено пользователем e46btc
Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

    • Американская Giga Energy приступила к майнингу биткоинов в Аргентине

      Майнинговая компания Giga Energy, держащая свои основные мощности в американском Техасе, расширила свою работу по добыче первой криптовалюты с применением энергии от сжигания попутного газа на Аргентину. Компания приступила к добыче биткоинов на месторождении сланцевых нефти и газа Vaca Muerta в провинции Мендоса. Рабочие Giga Energy расставили транспортные контейнеры с оборудованием для майнинга около нефтяных вышек.    В качестве партнеров Giga Energy в Аргентине выступают нефтедобы

      в Новости криптовалют

    • Arkham: Анонимный кит с балансом в 94 500 биткоинов активизировался накануне халвинга

      Аналитическая платформа Arkham Intelligence сообщила, что спавший с 2019 года крупный держатель биткоинов, занимающий пятую строчку по объемам накопленных монет (94 498,6 BTC), разделил свои активы между тремя свежесозданными криптокошельками. В исходном криптокошельке осталось всего 1,4 ВТС на сумму около $98 000. Из общей суммы в районе $6 млрд биткоины на примерно $5 млрд были отправлены на баланс одного из новых кошельков, а оставшиеся разделились и переместились еще на два кошелька прим

      в Новости криптовалют

    • Роберт Кийосаки: «Пойду куплю перед халвингом еще десять биткоинов»

      Американский предприниматель, автор книги «Богатый папа, бедный папа», рассказал, что сейчас активно покупает биткоины из-за предстоящего халвинга. И советует всем, кто не может приобрести один биткоин, купить хотя бы кусочек первой криптовалюты. Роберт Кийосаки (Robert Kiyosaki) считает, что стоимость биткоина к сентябрю 2024 года достигнет $100 000. Всем, кто не хочет инвестировать в криптовалюту, писатель рекомендует покупать серебряные монеты.    Доллары США, как и другие фиатные

      в Новости криптовалют

    • Роберт Кийосаки: «Покупайте столько биткоинов, сколько сможете»

      Автор бестселлера «Богатый папа, бедный папа» Роберт Кийосаки назвал биткоин реальным активом, призвав инвесторов переключиться с инвестиций в акции и отдать приоритет накоплению BTC. Американский предприниматель Роберт Кийосаки (Robert Kiyosaki) написал в соцсети Х про Китай, заявив, что правительство этой страны заняло средства для покупки большего количества акций. Это может искусственно раздуть фондовый рынок, утверждает финансовый эксперт. Он раскритиковал решение Китая, назвав это «от

      в Новости криптовалют

    • В Московской области у полицейских украли оборудование для майнинга

      Следственный комитет Московской области возбудил уголовное дело против сотрудников управления Министерства внутренних дел города Наро-Фоминска. У полиции похитили ранее изъятое оборудование для майнинга криптовалют. В 2022 году сотрудники уголовного розыска Московской области нашли в некоем производственном комплексе на территории Наро-Фоминска бытовые помещения, где работала ферма для майнинга криптовалют. 68 майнеров и прочие устройства были конфискованы, а их владельца заподозрили в хище

      в Новости криптовалют

×
×
  • Создать...